Volumele mari de muncă și spectrul răspunderii personale în cazul incidentelor îi afectează în așa măsură pe angajații din domeniul securității, încât mulți dintre ei caută să schimbe postul. Ce înseamnă acest lucru pentru apărarea cibernetică a companiilor?

Securitatea cibernetică devine în sfârșit un subiect dezbătut la nivelul consiliului de administrație al companiilor. Așa cum ar trebui să fie, având în vedere rolul tot mai important pe care îl joacă gestionarea riscurilor cibernetice în luarea deciziilor strategice. Riscul cibernetic este, în mod fundamental, un risc de bază al business-ului, cu potențialul de a propulsa sau de a dărâma o organizație. Aceasta este cu siguranță principiul care stă la baza noilor norme de reglementare din SUA.

Dar, recunoscând importanța sa, echipa de management și autoritățile de reglementare exercită o presiune mai mare asupra responsabililor CISO (Chief Information Security Officer), fără a le oferi neapărat recunoașterea și recompensarea corespunzătoare. Rezultatul este previzibil: angajații în rol de CISO înregistrează o creștere a nivelului de stres, a epuizării și a nemulțumirii. Trei sferturi (75%) dintre directorii CISO se declară deschiși la o schimbare, cu opt puncte procentuale mai mult decât în urmă cu un an. Doar 64% sunt mulțumiți de rolul lor, în scădere cu 10%.

Aceste provocări au implicații serioase pentru securitatea cibernetică în cadrul organizațiilor iar abordarea lor ar trebui să fie o prioritate.

Un rol din ce în ce mai stresant

Responsabilii CISO au avut întotdeauna o muncă stresantă, iar printre factorii determinanți se numără:

• nivelul crescut al amenințărilor cibernetice, lucru care face ca multe companii să se afle într-o stare de alertă continuă 
• lipsa de competențe în domeniu, care lasă echipele în deficit de personal
• volumul de muncă excesiv determinat de cerințele tot mai mari din partea managementului
• lipsa resurselor și a finanțării adecvate
• volumul de lucru care îi obligă pe angajații în rol de CISO să lucreze ore suplimentare și să-și anuleze concediile
• transformarea digitală, care continuă să extindă suprafața de atac cibernetic a companiilor
• cerințe de conformitate care continuă să crească cu fiecare an care trece.

Nu este o surpriză faptul că un sfert (24%) dintre liderii globali din domeniul IT și al securității au recunoscut că folosesc automedicația pentru a atenua stresul. Nivelurile crescânde de stres nu cresc doar probabilitatea de epuizare și/sau de pensionare anticipată, ele ar putea duce la luarea de decizii proaste (așa cum a demonstrat acest studiu, de exemplu), precum și la un impact asupra abilităților cognitive și a capacității de a gândi rațional. Într-adevăr, s-a sugerat că până și anticiparea unei zile stresante poate avea un impact negativ asupra cogniției. Aproximativ două treimi (65%) dintre CISO recunosc că stresul legat de locul de muncă le-a compromis capacitatea de a performa la job.

Presiune suplimentară din partea autorităților

Pe lângă acest nivel de stres de bază, în ultimele luni au apărut controale suplimentare din partea autorităților de reglementare, a autorităților juridice și a consiliilor de administrație. Trei evenimente recente sunt relevante:

• Mai 2023: Fostul CSO (Chief Security Officer) al Uber, Joe Sullivan, a fost condamnat la trei ani cu suspendare, după ce a fost găsit vinovat de două infracțiuni legate de rolul său într-o tentativă de mușamalizare a unei mega-breșe de date din 2016. Susținătorii declară că acesta a fost țapul ispășitor al directorului general de atunci, Travis Kalanick, și al avocatului intern al Uber, Craig Clark, Sullivan explicând că Kalanick a semnat controversata răscumpărare de 100.000 de dolari către hackeri.
• Octombrie 2023: În premieră, SEC l-a pus sub acuzare pe Timothy Brown, CISO al SolarWinds, pentru că a minimizat sau nu a dezvăluit riscurile cibernetice, în timp ce a supraestimat practicile de securitate ale firmei. Plângerea se referă la mai multe comentarii interne făcute de Brown și susține că acesta nu a reușit să rezolve sau să ridice spre dezbatere aceste preocupări grave în cadrul companiei.
• Decembrie 2023: Intră în vigoare noile norme de raportare ale SEC, care impun companiilor cotate la bursă să raporteze incidentele cibernetice „materiale” în termen de patru zile lucrătoare de la stabilirea caracterului semnificativ. De asemenea, companiile vor trebui să descrie anual procesele lor de evaluare, identificare și gestionare a riscurilor, precum și impactul oricăror incidente. Mai mult chiar, vor trebui să ofere explicații detaliate ale riscurilor cibernetice către consiliul de administrație și să ofere expertiză în evaluarea și gestionarea acestor riscuri.

Supravegherea conformității cu reglementările în vigoare nu este o direcție care se aplică doar în SUA. Noua directivă NIS2, care urmează să fie transpusă în legislația statelor membre ale UE până în octombrie 2024, conferă consiliului de administrație responsabilitatea directă de a aproba măsurile de gestionare a riscurilor cibernetice și de a supraveghea punerea lor în aplicare. De asemenea, membrii conducerii pot fi trași la răspundere personal dacă sunt găsiți vinovați de neglijență în cazul unor incidente grave.

Potrivit analistului Jon Oltsik, din cadrul Enterprise Strategy Group (EST), presiunea tot mai mare pe care astfel de măsuri o exercită asupra celor cu atribuții de CISO face ca sarcina lor principală de a răspunde la amenințări și de a gestiona riscurile cibernetice să devină mai dificilă. Un studiu recent al ESG arată că sarcini precum colaborarea cu consiliul de administrație, supravegherea conformității cu reglementările și gestionarea unui buget transformă rolul CISO dintr-unul tehnic într-unul orientat spre business. În același timp, dependența tot mai mare de departamentul IT pentru a alimenta transformarea digitală și succesul afacerii a devenit copleșitoare. Studiul susține că 65% dintre CISO au luat în considerare posibilitatea de a părăsi rolul din cauza stresului inerent.

Principalele repere pentru CISO și management

Concluzia este că, dacă responsabilii CISO se luptă să facă față volumului de muncă și se tem de represalii și de răspunderea penală pentru acțiunile lor, este probabil ca aceștia să ia decizii zilnice mai proaste. Mulți ar putea chiar să părăsească industria. Acest lucru ar avea un impact extrem de negativ asupra unui sector care deja se luptă cu lipsa personalului specializat.

Dar nu trebuie să fie așa. Există lucruri pe care atât consiliile de administrație, cât și personalul CISO le pot face pentru a atenua situația. Luați în considerare următoarele:

• Consiliile de administrație ar trebui să evalueze sănătatea mentală, volumul de muncă, resursele și structurile de raportare ale personalului cu rol de CISO pentru a le optimiza eficiența. Stresul ridicat poate avea drept rezultat absența din companie pentru perioade lungi de timp a unui CISO cu normă întreagă, ceea ce demotivează echipele și afectează strategia de securitate per ansamblu.
• Echipa de management ar trebui să remunereze angajații CISO în concordanță cu riscul ridicat pe care îl înglobează acum rolul lor.
• Este esențială menținerea unui canal de comunicare regulat între administrație și  CISO, cu linii de raportare directă către directorul general, dacă este posibil. Acest lucru va contribui la îmbunătățirea colaborării și va poziționa CISO în conformitate cu responsabilitățile sale.
• Consiliile de administrație ar trebui să le ofere directorilor și personalului CISO o asigurare de tip D&O (Directors and Officers) pentru a-i proteja de riscuri grave.
• Personalul în rol de CISO ar trebui să rămână în industrie și să accepte o responsabilitate mai mare, în loc să o ocolească. De asemenea, ei trebuie să își amintească că rolul lor este de a consilia și de a oferi context echipei de management, lăsând deciziile importante în seama acesteia. 
• Angajații CISO ar trebui să acorde întotdeauna prioritate transparenței și deschiderii, în special în ceea ce privește legătura cu autoritățile de reglementare.
• Personalul cu rol de CISO ar trebui să fie atent la comunicarea internă și să se asigure că deciziile sau solicitările „controversate” venite din partea echipei de management sunt întotdeauna înregistrate în scris.
• Atunci când își găsesc o nouă poziție, CISO ar trebui să angajeze un avocat personal care să analizeze în detaliu potențialul contract.

Pentru a optimiza strategia de securitate cibernetică, consiliile de administrație ar trebui să înceapă prin reevaluarea rolului pe care îl doresc pentru CISO. Următorul pas este să se asigure că profesionistul în domeniul securității cibernetice care ocupă acel rol are suficient sprijin și primește suficiente recompense pentru a dori să progreseze și să performeze.